CybeInvestigadores en ciberseguridad han detectado una sofisticada campaña de malware que apunta a sitios WordPress mediante un plugin falso, diseñado para robar tarjetas de crédito, credenciales de acceso y para perfilar el comportamiento de los usuarios. El equipo de inteligencia de amenazas de Wordfence descubrió el ataque el 16 de mayo de 2025, y advirtió que podría estar activo desde al menos septiembre de 2023.

Una nueva táctica contra WordPress

El código malicioso fue ocultado dentro de un plugin falso de WordPress, como uno llamado engañosamente “WordPress Core”, que aparenta ser legítimo. A diferencia de ataques anteriores, esta campaña incorporó un backend activo alojado en los mismos sitios comprometidos, una técnica inédita en ataques centrados en WordPress.

El plugin contenía skimmers en JavaScript y scripts PHP para extraer datos en tiempo real. Además, usaba funciones de WooCommerce para marcar órdenes fraudulentas como completadas, lo que retrasaba la detección del fraude.

Un malware modular con múltiples capacidades

Wordfence analizó más de 20 muestras distintas y descubrió una arquitectura modular, lo que permitió a los atacantes adaptar el mismo núcleo malicioso para diferentes propósitos. Entre las variantes identificadas se encuentran:

• Una que manipulaba anuncios de Google para mostrar contenido fraudulento en dispositivos móviles.
• Otra enfocada en robar credenciales de acceso a WordPress.
• Y una tercera que distribuía más malware mediante la sustitución de enlaces.

Todas las versiones compartían técnicas avanzadas de evasión como ofuscación de código, detección de herramientas de desarrollador y ejecución selectiva en páginas específicas como pantallas de pago o inicio de sesión.

Skimming avanzado y robo de datos

La campaña también empleaba formularios falsos de pago y superposiciones HTML personalizadas, incluso desafíos de verificación humana que imitaban páginas de servicios legítimos como Cloudflare, haciendo más creíble el engaño para las víctimas.

Para ocultar la actividad, los datos robados eran codificados en Base64 y disfrazados como URLs de imágenes. En versiones más avanzadas, los atacantes utilizaban bots de Telegram para recibir información en tiempo real sobre las acciones de los usuarios y los datos capturados.

Infraestructura persistente e indicadores de compromiso

Una característica destacada del ataque es su integración directa en la estructura del sitio WordPress comprometido, donde se creó un tipo de entrada personalizado llamado "messages" para almacenar los datos de pago robados dentro del panel de administración.

Entre los principales indicadores de compromiso (IoCs) encontrados se incluyen:

• api-service-188910982.website
• graphiccloudcontent.com
• Llamadas a bots de Telegram como: api.telegram.org/bot[…]chat_id=-4672047987

Cómo proteger tu sitio WordPress

Esta campaña demuestra los peligros persistentes que presentan los plugins de terceros y la necesidad de aplicar medidas de seguridad como: validación estricta de plugins, actualizaciones frecuentes y monitoreo constante del backend.

En Nubetia, ayudamos a empresas a reforzar su entorno WordPress, detectar amenazas sigilosas y prevenir filtraciones de datos antes de que generen consecuencias reales.

Source: https://www.infosecurity-magazine.com/news/rogue-wordpress-plugin-skim-credit/